Как лучше реализовать такую сеть на Microtik?

Question

[iCmac]

Имеется недавно собранная локалка с двумя офисами, расположенными друг от друга на расстоянии около 1км. Понадобилось объединить эти сетки между собой и добавить возможность удаленного подключения мобильных сотрудников (РС4) к внутренней сетке. С микротиками раньше не работал, но получилось их достать почти бесплатно. Подскажите что почитать, желательно с конкретными примерами на уровне "скопипастить-немного_подправить-все_работает", дабы обеспечить работоспособность данной схемы.
Необходимо, чтобы PC4 видел PC1, PC2, PC3 и ServerBox, а PC1, PC2, PC3 и ServerBox видели друг друга. Мобильных клиентов (РС4) может быть много. Желательно обеспечить также возможность удаленного конфигурирования всех имеющихся микротиков (ну кроме R1/R2).
Копал в сторону VPN-туннелей и PPP-L2TP. Получилось поднять тунельку между Lan1 и Lan2, правда дальше внутреннего интерфейса партнера ничего не видно.
Как всегда все понадобилось еще позавчера, а вчера уже должно работать...

Comments

[iCmac]

Про EoIP читал в вики у микротика. Но там одно адресное пространство во всех сетях. У меня же две локалки, с разной адресацией и одиночные клиенты подключающиеся из дома, ресторанов, а/м. Сейчас у меня М3 подключается к РРР-серверу на М1 (ipces). Однако, например, с РС3 пингуется только внутренний интерфейс М1, а с РС2 внутренний интерфейс М3. Дальше пинг не идет. Firewall на всех РС отключен.
Проблема 2 - с машины РС1 winbox перестал видеть М1 и М3. Для настройки приходится переключать ноутбук в нужное устройство, почему не знаю, хотя все что может блокировать доступ на WL и M2 отключено.

Answer 1

[Andrewww]

Не вижу особых проблем. Сколько ориентировочно одновременно удаленных клиентов будет?
На R1 поднимается VPN (у меня к примеру используется OVPN), R2 и клиентам раздаешь конфиг ( логин, пароль, ключи и сертификаты по желанию). Настраивается роутинг из VPN сети в локалки (на R1 и R2) и собственно всё.
Только я бы поменял местами M1 и R1, первый будет по железу поинтереснее (могу путать, гляньте спеки)

Читать советую Вики микротика и форум микротика
По сети еще ходит мануал ПДФ, правда старой версии, но основные вещи можно там прочитать

Answer 2

[Сергей]

Необходимо, чтобы PC4 видел ? что значит "видел"?

Comments

[iCmac]

Мммм... Пинговались!) Т.е. полный доступ в локалку

[Сергей]

Ну рекомендую почитать про EoIP

[iCmac]

Читал... Не совсем то, либо я чего-то не понимаю... Дополнил вопрос

Answer 3

[kodi]

@iCmac
R1 и R2 - провайдерские? значит Ваши - М1 и М3? Какие на них внешние айпишники (белые,серые?)

Comments

[iCmac]

Согласно схемы R1/R2 провайдерские. Отключить, поменять местами и т.д. я их не могу, и доступа к ним не имею. На R1 на одном из порту пров настроил прямой доступ в Интернет, минуя их внутреннюю сеть и выдал мне статический "белый" IP. В этот порт и подключен М1. К М1 по защищенному тунелю должен быть подключен удаленный офис (M1-M3), а также от 5 мобильных пользователей, для доступа к внутренним ресурсам LAN1. На М3 "серый" IP, но если необходимо, можно попробовать также получить белую статику.

[kodi]

@iCmac
указывайте обращение, как в моих сообщениях, иначе не видно Вашего сообщения в трекере.
На Вашей схеме R1 и R2 не должно быть, они входят в подмножество Интернет.
Вам надо определить с типом vpn, который Вы хотите использовать.
На М1 поднимаете серверную часть, на М3 - клиентскую.
Далее между М1 и М3 настраиваете роутинг.
Собственно на этом все.
PC4 так же подключается к М1 по vpn и попадает в сеть. Тип vpn для отдельных сотрудников можно выбрать другой.

Answer 4

[Герман Сухачев]

Если ваши роутеры видят друг друга без NAT, то есть могут пинговать друг друга по тем адресам, которые навешаны на интерфейсы в сторону провайдера то:
1. если у вас одинаковые подсети, и адреса не пересекаются и менять их не хочется совсем: поднять EoIP.
2. если у вас разные подсети: поднять GRE. Прописать маршруты на удалённые сети или для удобства включить OSPF.
Если есть NAT между вашими роутерами: На M1 поднимаем l2tp-сервер к которому могут подключаться как удалённый микротик, так и любые удалённые клиенты. l2tp использует в кач-ве транспорта UDP и легко проходит через NAT в отличие от PTPP. Прописать маршруты на удалённые сети или для удобства включить OSPF.

Вроде ничего не забыл.